CN116319113B - 一种域名解析异常的检测方法和电子设备 - Google Patents
一种域名解析异常的检测方法和电子设备 Download PDFInfo
- Publication number
- CN116319113B CN116319113B CN202310588728.XA CN202310588728A CN116319113B CN 116319113 B CN116319113 B CN 116319113B CN 202310588728 A CN202310588728 A CN 202310588728A CN 116319113 B CN116319113 B CN 116319113B
- Authority
- CN
- China
- Prior art keywords
- domain name
- target
- resolution
- server
- name server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 153
- 230000005856 abnormality Effects 0.000 title claims abstract description 84
- 230000002159 abnormal effect Effects 0.000 claims abstract description 93
- 230000004044 response Effects 0.000 claims abstract description 54
- 238000000034 method Methods 0.000 claims description 60
- 238000005242 forging Methods 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 4
- 108020001568 subdomains Proteins 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种域名解析异常的检测方法和电子设备,涉及域名解析技术领域。其中,域名解析异常的检测方法包括:获取至少一个预设的目标检测规则;其中,目标检测规则包括相匹配的请求规则和判定规则;利用请求规则,向目标域名服务器发送对目标域名的解析请求;其中,目标域名服务器和目标域名均与请求规则相对应;基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***的异常解析类型;其中,响应结果包括解析结果和/或解析时长,异常解析类型与目标检测规则相对应。根据本申请实施例的技术方案,可以确定异常解析类型,从而定位出现异常的环节或本质问题,提高域名解析服务的安全性和稳定性。
Description
技术领域
本申请涉及域名解析技术领域,尤其涉及一种域名解析异常的检测方法和电子设备。
背景技术
域名***(Domain Name System)用于提供域名解析服务,域名解析服务即提供域名以及网际协议(Internet Protocol,IP)地址等标识映射关系的查询服务,域名解析就是域名到IP地址的转换过程,由域名解析服务器完成。域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器,或伪造域名解析服务器的方法,把目标网站域名解析到错误的IP地址,从而实现用户无法访问目标网站的目的,或达到蓄意或恶意要求用户访问指定IP地址的目的,从而出现域名解析异常的情况。现有技术目前还无法准确检测到域名劫持这种域名解析异常的情况。
发明内容
本申请实施例提供一种域名解析异常的检测方法和电子设备,以提高域名解析服务的安全性和稳定性。
第一方面,本申请实施例提供了一种域名解析异常的检测方法,包括:获取至少一个预设的目标检测规则;其中,所述目标检测规则包括相匹配的请求规则和判定规则;利用所述请求规则,向目标域名服务器发送对目标域名的解析请求;其中,所述目标域名服务器和所述目标域名均与所述请求规则相对应;基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型;其中,所述响应结果包括解析结果和/或解析时长,所述异常解析类型与所述目标检测规则相对应。
第二方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现本申请实施例任一项所述的方法。
第三方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例任一项所述的方法。
根据本申请实施例提供的域名解析异常的检测方法,通过预设与异常解析类型相对应的目标检测规则,并利用目标检测规则对目标域名服务***进行检测,以确定异常解析类型,从而定位出现异常的环节或本质问题,提高域名解析服务的安全性和稳定性。具体地,按照目标域名检测规则中的请求规则,可以确定相应的目标域名服务器和目标域名,进而模拟发送解析请求,并按照目标域名检测规则中的判定规则,对目标域名服务器对目标域名的响应结果进行检测和判定,进而定位异常解析类型。
进一步地,在一些可实现的实施方式中,目标检测规则可以是多个,各目标检测规则可以分别针对不同类型的域名解析异常而预设,从而提供一种多维度检测的评估方法。另外,各目标检测规则可以根据检测准确度分别设置置信度,从而提高检测结果的准确性。
上述说明仅是本申请技术方案的概述 ,为了能够更清楚了解本申请的技术手段,可依照说明书的内容予以实施,并且为了让本申请的上述和其他目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请的一些实施方式,而不应将其视为是对本申请范围的限制。
图1为本申请应用场景提供的域名多层结构的示意图;
图2为本申请应用场景提供的域名解析过程的示意图;
图3为本申请实施例一的域名解析异常的检测方法的流程图;
图4为本申请实施例二的域名解析异常的检测方法的流程图;
图5为用来实现本申请实施例的电子设备的框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本申请的构思或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的,而非限制性的。
为便于理解本申请实施例的技术方案,以下对本申请实施例的相关技术进行说明。以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合,其均属于本申请实施例的保护范围。
术语解释
域名劫持:是互联网攻击的一种方式,通过攻击域名解析服务器,或伪造域名解析服务器的方法,把目标网站的域名解析到错误的IP地址,达到用户无法访问目标网站的目的,或达到蓄意或恶意要求用户访问指定IP地址的目的,从而出现域名解析异常的情况。
递归解析:也叫递归查询,是指域名解析服务器在收到用户终端发起的请求时,须向用户终端返回一个查询结果。如果域名解析服务器本地没有存储与之对应的信息,则该服务器需要询问其他服务器,并将返回的查询结构提交给用户终端。
本地域名服务器(Domain Name Server resolver(简称DNS resolver)或LocalDomain Name Server(简称Local DNS)):本地域名服务器是响应来自用户终端的递归请求,并最终跟踪直到获取到解析结果的域名解析服务器,也叫做递归服务器。例如:用户本机自动分配的域名解析服务器、网络服务提供商(Internet Service Provider,ISP)分配的域名解析服务器、或某些服务商提供的公共递归服务器等。本地域名服务器一般不存储解析结果数据,仅协助完成域名解析过程并返回解析结果给用户,同时缓存之前的解析结果,提升后续的查询效率。
根域名服务器(Root nameserver):负责管理在该根域名服务器下注册的顶级域名,本地域名服务器在本地查询不到解析结果时,则第一步会向根域名服务器进行查询,根域名服务器获取顶级域名服务器的IP地址。
顶级域名服务器(Tld nameserver):负责管理在该顶级域名服务器下注册的二级域名,例如“www.example.com”,.com对应的服务器则是顶级域名服务器,在向它查询时,可以返回二级域名“example.com”所在的权威域名服务器地址。
权威域名服务器(authoritative nameserver):在特定区域内具有唯一性,负责维护该特定区域内的域名与IP地址等标识的解析结果,并提供该解析结果的查询服务的域名解析服务器。
用户数据报协议(UserDatagram Protocol,UDP):因特网协议集中支持无连接的传输协议。UDP提供了一种无需建立连接就可以向用户终端发送封装的 IP 地址数据包的方法。
应用场景
任何一个连接在因特网上的主机或路由器,都有一个唯一的层次结构的名字,即域名(domain name)。这里,“域”(domain)是名字空间中一个可被管理的划分。从语法上讲,每一个域名都是有标号(label)序列组成,而各标号之间用点(小数点)隔开。
域名云解析服务平台用于提供云解析服务(Domain Name Service),云解析服务可以把用户常用的域名(如www.example.com)转换成用于计算机连接的IP地址(如192.1.2.3)。使得用户直接在浏览器中输入域名,即可访问网站或Web应用程序。云解析服务包括公网域名解析、私网域名解析、反向解析等服务类型。
域名可以划分为各个子域,子域还可以继续划分为子域的子域,这样就形成了顶级域名、主域名、子域名等。图1示出域名层次结构的一个示例性示意图。如图1所示,根域即“.”,是最高级别的域名。域名在DNS***中的完整格式为“example.com.”。当用户在浏览器中输入域名时,通常会省略最后的“.”,输入“example.com”,域名***会默认将域名转换为完整格式。“.”对应根域名服务器,保存顶级域名服务器的IP地址。
顶级域名可根据域名后缀进行区分,主要包括两大类:一类是通用顶级域名,如.com,.net,.org,.top,另一类是国家和地区顶级域名,如.cn,.us,.de等。目前,还出现了一类新增通用顶级域名,如biz,.info等。顶级域名对应顶级域名服务器,保存顶级域名对应的二级域名服务器地址。例如,.com顶级域名对应的顶级域名服务器保存后缀为.com的二级域名服务器的IP地址。
主域名也可称为一级域名,如example1.com,其中,example1通常为企业名。
子域名也可称为二级域名,是顶级域名的子域,如example.example1.com。二级域名对应权威域名服务器。子域名也可以有其子域,子域名的子域也可称为三级域名,如www.example.example1.com。
公网域名解析是基于互联网公网的域名解析过程,可以把人们常用的域名(如www.example.com)转换成用于计算机连接的IP地址(如1.2.3.4)。公网域名解析支持通过直接在浏览器中输入域名,访问网站或全球广域网(World Wide Web,Web)应用程序。
图2示出云解析服务提供的公网域名解析过程的一个示例性示意图。如图2所示,该域名解析过程可以包括:
步骤S201:终端用户基于用户终端(如Web浏览器)输入网站域名www.example.com。
步骤S202:Web浏览器将对域名www.example.com的查询请求路由到本地域名服务器,由本地域名服务器开始进行递归查询。域名的解析结果通常会在本地域名服务器中进行缓存,如果本地域名服务器在缓存中查询到该域名的解析结果,则会跳过以下步骤,直接返回该域名的解析结果。如果本地域名服务器在缓存中没有查询到该域名的解析结果,则会进入步骤S203:。
步骤S203:本地域名服务器在缓存中没有查询到域名的解析记录,则会采用迭代查询的方法,将对域名www.example.com的查询请求路由到根域名服务器,向根域名服务器进行查询。
步骤S204:根域名服务器向本地域名服务器返回.com顶级域名服务器的IP地址。
步骤S205:本地域名服务器将对域名www.example.com的查询请求路由到.com顶级域名服务器。
步骤S206:.com顶级域名服务器向本地域名服务器返回为example.com提供权威解析服务的权威域名服务器的IP地址。
步骤S207:本地域名服务器将对域名www.example.com的查询请求路由到example.com对应的权威域名服务器。
步骤S208:权威域名服务器向本地域名服务器返回该域名对应的网站IP地址。
步骤S209:本地域名服务器向Web浏览器返回该域名该网站IP地址。
步骤S2010:Web浏览器通过该网站IP地址访问对应的网站服务器。
步骤S2011:网站服务器向Web浏览器返回网站主页。
步骤S2012:终端用户从Web浏览器获取网站主页,成功访问网站。
当前对于互联网上的域名解析,主要是基于UDP协议完成,而该协议无连接的特性极易导致域名劫持的情况发生。同时部分网络服务提供商为了降低跨网解析的流量或出于商业目的,会通过域名劫持进而基于本地域名服务器对用户请求的域名直接进行响应,而不去向下级域名服务器查询,这将导致部分域名的解析失败或影响变更生效的时间。这些都将引发域名解析异常的情况,而这种域名解析异常发生后,很难检测和定位出现异常的环节或本质问题,尤其是较难检测出是否出现了域名劫持的情况,进而影响域名解析服务的安全性和稳定性。另外,在出现本地网络服务提供商对域名劫持的情况而导致域名异常解析后,由于用户并不知道异常原因,会误以为域名解析服务本身出现问题,进而导致用户对域名解析服务质量的质疑。
本申请实施例旨在提供一种域名解析异常的检测方法,通过预设与异常解析类型相对应的目标检测规则,并利用目标检测规则对目标域名服务***进行检测,以确定异常解析类型,从而定位出现异常的环节或本质问题,提高域名解析服务的安全性和稳定性。具体地,按照目标域名检测规则中的请求规则,可以确定相应的目标域名服务器和目标域名,进而模拟发送解析请求,并按照目标域名检测规则中的判定规则,对目标域名服务器对目标域名的响应结果进行检测和判定,进而定位异常解析类型。
示例性地,目标检测规则可以是多个,各目标检测规则可以分别针对不同类型的域名解析异常而预设,从而提供一种多维度检测的评估方法。另外,各目标检测规则可以根据检测准确度分别设置置信度,从而提高检测结果的准确性。
作为一个应用示例,本申请实施例的域名解析异常的检测方法主要适用于公网劫持场景,即检测公网域名解析异常中的域名劫持异常。
作为一个应用示例,本申请实施例的域名解析异常的检测方法可以由域名解析异常的检测装置执行。示例性地,域名解析异常的检测装置的形态可以是具有数据处理功能的硬件设备(如服务器、终端设备)或硬件芯片,硬件芯片可以为CPU、图形处理器(GraphicsProcessing,GPU)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、网络处理器(Neural-network Processing Unit,NPU)、AI加速卡或数据处理器(DataProcessing Unit,DPU)等;域名解析异常的检测装置的形态也可以是应用程序、服务、实例、软件形态的功能模块、虚拟机(Virtual Machine,VM)、容器或云服务器等;或者还可以是软硬件相结合的形态。
其中,域名解析异常的检测装置可以与目标检测规则中对应的目标域名服务器进行通讯,进而发送对目标域名的解析请求,并获取目标域名服务器对目标域名的响应结果。示例性地,域名解析异常的检测装置可以通过调用或运行工具,发送解析请求和获取响应结果。这种工具可以是域名查询工具,如域名信息搜索器(dig)或域名查询器(name serverlookup,nslookup),也可以是网包探测工具,如网包探测(Packet Internet Groper,ping)命令。
作为一个应用示例,域名解析异常的检测装置可以部署在域名云解析服务平台上,并可以为用户提供操作入口,如交互组件,通过该操作入口用户可以选择一个或多个目标检测规则或全部目标检测规则,进而触发相应的检测方法。
需要说明的是,本申请实施例中提供的域名解析异常的检测方法的上述应用场景或应用示例,是为了便于理解,本申请实施例对域名解析异常的检测方法的应用不作具体限定。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决前述技术问题进行详细说明。所列举的若干具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择或编辑授权或者拒绝。
实施例一
图3示出根据本申请实施例的域名解析异常的检测方法的流程图。该域名解析异常的检测方法可以应用于域名解析异常的检测装置。如图3所示,该域名解析异常的检测方法包括:
步骤S301:获取至少一个预设的目标检测规则;其中,目标检测规则包括相匹配的请求规则和判定规则。
其中,目标检测规则可以选自于多个预设的检测规则,示例性地,可以基于异常解析类型的不同,分别设置相应的检测规则,如按照响应结果或按照劫持手段或按照被劫持的域名等不同场景或根因,设置相应的检测规则。另外,同一异常解析类型,可以对应有多种检测规则,从而可以多个维度对该异常解析类型进行评估。
示例性地,异常解析类型可以包括响应异常的异常解析类型、某些查询信息(如被劫持的域名,即下文的待检测域名)的域名劫持异常或通过伪造域名服务器导致的域名劫持异常。其中,响应异常例如为解析结果已过期、解析结果超时未返回(即不响应)、解析结果为私网IP地址或非用户要访问的网站的IP地址等;被劫持的域名例如为特定域名(顶级域名)、不存在的域名(NXDOMAIN)、特定源IP地址(如为某些服务商提供的公共递归服务器对应的IP地址)。其中,不存在的域名可以理解为未配置有IP地址解析结果的域名。
目标检测规则可以是用户从预设的检测规则中选择的。示例性地,域名云解析服务平台可以为用户提供操作入口,如交互组件,通过该操作入口用户可以选择一个或多个目标检测规则或全部目标检测规则。目标检测规则也可以为***默认配置地,如配置在域名云解析服务平台上,当用户选择执行检测方法时,将自动选择配置好的目标检测规则。本申请实施例对此不作限定。
进一步地,目标检测规则包括相匹配的请求规则和判定规则。其中,请求规则用于配置目标域名服务器和目标域名,从而按照请求规则向目标域名服务器发送对目标域名的解析请求。判定规则用于对目标域名服务器对目标域名的响应结果进行检测和判定,进而定位异常解析类型。
步骤S302:利用请求规则,向目标域名服务器发送对目标域名的解析请求;其中,目标域名服务器和目标域名均与请求规则相对应。
示例性地,请求规则中可以配置有目标域名服务器、目标域名以及发送解析请求的方法。其中,发送解析请求的方式可以包括基于某种网络传输协议发送或利用域名查询工具发送等。网络传输协议例如为UDP协议、面向连接的传输层通信协议(TransmissionControl Protocol,TCP)等。域名查询工具例如为域名信息搜索器(dig)或域名查询器(name server lookup,nslookup)等。进一步地,按照请求规则中的发送解析请求的方法,向目标域名服务器发送对目标域名的解析请求。
例如:请求规则中配置的目标域名为不存在的域名,目标域名服务器为本地域名服务器,发送解析请求的方式为基于网络传输协议发送解析请求,进而在步骤S302中,域名解析异常的检测装置可以基于网络传输协议,向本地域名服务器发送对不存在的域名的解析请求。
步骤S303:基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***的异常解析类型;其中,响应结果包括解析结果和/或解析时长,异常解析类型与目标检测规则相对应。
其中,待检测域名解析***包括目标域名服务器。示例性地,目标域名服务器为本地域名服务器,在未发生域名劫持的场景中,本地域名服务器收到解析请求后,通常会按照上述步骤S201~步骤S209的方法对目标域名进行解析,如基于待检测域名解析***中的根域名服务器、顶级域名服务器、权威域名服务器等对目标域名进行解析,并返回目标域名的解析结果。待检测域名解析***解析目标域名所花费的时长即为解析时长。
响应结果可以包括解析结果,也可以包括解析时长。按照判定规则对解析结果和/或解析时长进行检测和判定,可以得到与目标检测规则相对应的异常解析类型。例如:目标域名为不存在的域名,目标域名服务器为本地域名服务器,判定规则中配置的响应结果的类型为解析结果,并配置了如果本地域名服务器返回解析结果且该解析结果可以对应真实网站的IP地址,则异常解析类型为域名劫持异常。因此,按照该判定规则,如果本地域名服务器返回解析结果且该解析结果可以对应真实网站的IP地址,则待检测域名解析***的异常解析类型即为域名劫持异常。
根据本申请实施例的检测方法,由于不同的异常解析类型对应不同的目标检测规则,因此,按照目标检测规则对待检测域名解析***进行检测,可以确定待检测域名解析***的异常解析类型,从而定位出现异常的环节或本质问题,提高域名解析服务的安全性和稳定性。
在一种实施方式中,目标检测规则配置有置信度,用于表征异常解析类型的置信度。例如某一目标检测规则的置信度为90%,那么按照该目标检测规则所确定的异常解析类型的置信度即为90%。也就是说,各目标检测规则可以根据检测准确度分别设置置信度, 从而提高检测结果的准确性。
在一种实施方式中,目标检测规则为多个,针对每个目标检测规则,分别执行步骤S302~步骤S303。其中,各目标检测规则可以分别针对不同类型的域名解析异常而预设,从而提供一种多维度检测的评估方法。
示例性地,目标检测规则为多个,且均对应于同一异常解析类型(如目标异常解析类型),每个目标检测规则分别配置有相应的置信度,对每个目标检测规则分别执行步骤S302~步骤S303,可以得到多个检测结果,每个检测结果的置信度即为相应目标检测规则的置信度,对多个检测结果加权求和,可以得到待检测域名解析***是否为目标异常解析类型以及相应的置信度。由此,避免单一维度的检测方法难以适配多种情况的域名解析异常的场景。
实施例二
本申请实施例提供一种域名解析异常的检测方法,其中,实施例一至少部分的技术方案和相应的技术效果可以引用到本申请实施例中。
本申请实施例中,异常解析类型包括域名劫持异常,即目标检测规则用于确定待检测域名解析***是否存在域名劫持异常的情况。图4示出根据本申请实施例的域名解析异常的检测方法的流程图。该域名解析异常的检测方法可以应用于域名解析异常的检测装置。如图4所示,该域名解析异常的检测方法包括:
步骤S401:获取至少一个预设的目标检测规则;其中,目标检测规则包括相匹配的请求规则和判定规则;
步骤S402:利用请求规则,向目标域名服务器发送对目标域名的解析请求;其中,目标域名服务器和目标域名均与请求规则相对应;
步骤S403:基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常;其中,响应结果包括解析结果和/或解析时长。
其中,步骤S401、步骤S402和步骤S403可以分别采用与步骤S301、步骤S302和步骤S303相类似的方法。
根据本申请实施例的检测方法,由于目标检测规则用于确定待检测域名解析***是否存在域名劫持异常的情况,因此,按照目标检测规则对待检测域名解析***进行检测,可以确定是否存在域名劫持异常,一方面提高域名解析服务的安全性和稳定性,另一方面,可以明确告知用户域名解析异常为域名劫持而导致,而非域名解析服务本身出现问题,进而提升用户对域名解析服务质量的可信度。
示例性地,域名劫持异常这一类型还可以细分为通过伪造域名服务器导致的域名劫持异常、对待检测域名的域名劫持异常,即目标检测规则用于确定域名劫持异常是否是由于伪造域名服务器导致,或者目标检测规则用于确定域名劫持异常是否为针对待检测域名的劫持,从而可以准确定位域名劫持异常的环节或原因。
下面介绍八种不同的目标检测规则,均可以用于定位域名劫持异常。
在第一种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的根域名服务器,目标域名为预设解析结果为IP地址格式的域名;其判定规则中配置了:如果根域名服务器返回的解析结果中包含该IP地址格式的信息,则判定异常解析类型为域名劫持异常。
进而在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于根域名服务器返回的解析结果中包含预设解析结果,判定异常解析类型为通过伪造根域名服务器导致的域名劫持异常。
其中,预设解析结果也可以理解为解析记录。解析记录的类型格式有多种,比较常见的有IP地址格式的解析记录,如第四版网际协议(Internet Protocol Version 4,ipv4)地址格式和第六版网际协议(Internet Protocol Version 6,ipv6)地址格式,其中,ipv4地址格式对应于A记录的解析记录类型格式,ipv6地址格式对应于AAAA记录的解析记录类型格式。
示例性地,在步骤S402中,利用请求规则,向目标域名服务器发送对目标域名的解析请求,具体可以包括:向待检测域名解析***中的根域名服务器发送目标域名的A记录查询或AAAA记录查询。
由于根域名服务器负责管理在该根域名服务器下注册的顶级域名,参照步骤S204,根域名服务器会向本地域名服务器返回.com顶级域名服务器的IP地址。因此,根域名服务器不会存储多级域名的信息,即不会存储公网IP地址格式的解析结果。当前大部分递归查询由于未开启最小化查询(QName Minimalzation),查询根域名服务器时候会携带完整的域名进行查询,劫持可通过伪造根域名服务器,从而对根域名服务器IP地址上所有对于该域名的查询直接进行劫持处理,实现解析链路的中断。
因此,如果待检测域名解析***中的根域名服务器返回的解析结果中包含公网IP地址格式的IP地址,如ipv4地址格式或ipv6地址格式的解析记录,则可以判定待检测域名解析***存在异常解析,且异常解析类型为通过伪造根域名服务器导致的域名劫持异常,即判定规则可以如此设置。
示例性地,第一种目标检测规则的置信度为100%,即按照该目标检测规则,判定异常解析类型为通过伪造根域名服务器导致的域名劫持异常的置信度为100%。
在第二种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名为目标公共递归服务器对应的域名;其判定规则中配置了:如果对目标域名的解析时长小于目标网络延迟时长,则判定异常解析类型为域名劫持异常。
进而在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于对目标域名的解析时长小于目标网络延迟时长,判定异常解析类型为通过伪造目标公共递归服务器导致的域名劫持异常。
其中,公共递归服务器是面向所有互联网用户的全球公共递归域名解析服务的域名解析服务器,通常对应一些特定IP地址,如8.8.8.8。目标公共递归服务器即为请求规则中所配置的公共递归服务器。目标公共递归服务器所在区域与待检测域名解析***中的本地域名服务器所在区域之间的距离超过预设值,例如本地域名服务器为国内区域的服务器,目标公共递归服务器为海外区域的服务器。
物理网络延迟可以理解为数据在物理网络介质中通过网络协议进行传输过程中,由于物理网络介质本身造成的传输延迟。因此,目标公共递归服务器与本地域名服务器之间的距离越远,本地域名服务器对其域名返回解析结果的网络延迟时长也越大,即目标网络延迟时长也越大。以本地域名服务器为国内区域的服务器,目标公共递归服务器为海外区域的服务器为例,通常情况下,本地域名服务器对其域名返回解析结果的网络延迟时长普遍高于20ms,即目标网络延迟时长可以为20ms。
因此,如果待检测域名解析***对目标域名的解析时长小于目标网络延迟时长,或者说,待检测域名解析***中的本地域名服务器返回解析结果的时长小于目标网络延迟时长,则说明劫持者可能对目标公共递归服务器所对应的特定IP地址进行了特殊规则配置,从而出现域名劫持异常。由此可以判定待检测域名解析***存在异常解析,且异常解析类型为通过伪造目标公共递归服务器导致的对目标域名的域名劫持异常,即判定规则可以如此设置。
示例性地,可以使用网包探测工具确定解析时长是否小于目标网络延迟时长。例如采用ping命令评估命令发送和收到响应之间的时间间隔,即ping响应时长,将其作为目标网络延迟时长。如果解析时长小于或远小于ping响应时长,则可以判定存在域名劫持异常。
示例性地,该目标检测规则的置信度为80%,即按照该目标检测规则,判定异常解析类型为通过伪造目标公共递归服务器导致的域名劫持异常的置信度为80%。原因在于,网络延迟的时长基于采集时刻的动态值进行计算,可能与实际情况略有差异。
在第三种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名为待检测域名的非IP地址格式的信息;其判定规则中配置了:如果本地域名服务器返回的解析结果为IP地址格式,则判定异常解析类型为对待检测域名的域名劫持异常。
进而在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于本地域名服务器返回的解析结果为IP地址格式,判定异常解析类型为对待检测域名的域名劫持异常。
其中,解析记录的类型格式除了可以为IP地址格式,如ipv4地址格式,也可以为非IP地址格式,如邮件交换(Mail Exchanger,MX)记录的格式或文本(TXT)记录的格式,即解析记录可以为A记录,也可以为MX记录或TXT记录。
示例性地,针对待检测域名,向待检测域名解析***中的本地域名服务器发送对该待检测域名的非A记录查询,例如进行该待检测域名的MX记录查询或TXT记录查询,如果本地域名服务器仍返回ipv4地址格式的解析结果,则代表可能存在对待检测域名的域名劫持异常。
示例性地,第三种目标检测规则的置信度为90%,即按照该目标检测规则,判定异常解析类型为对待检测域名的域名劫持异常的置信度为90%。原因在于,本地域名服务器中可能存在部分缓存信息,从而导致返回的解析结果为IP地址格式。
在第四种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名包括待检测域名和参考域名,参考域名为顶级域名;其判定规则中配置了:如果本地域名服务器返回参考域名的解析结果,但未返回待检测域名的解析结果,判定异常解析类型为对待检测域名的域名劫持异常。
进而在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于本地域名服务器返回参考域名的解析结果,但未返回待检测域名的解析结果,判定异常解析类型为对待检测域名的域名劫持异常。
其中,将顶级域名作为比对的参考域名,可用于判断待检测解析***是否可以提供解析服务。同时检测是否可以正常返回对待检测域名的解析结果。正常返回解析结果包括在规定时长内返回解析结果。如果本地域名服务器可以正常返回参考域名的解析结果,但不能正常返回待检测域名的解析结果,例如超出规定时长未返回解析结果,且与本地域名服务器之间的网络连接正常,则可以判定存在对待检测域名的域名劫持异常,即可以针对不返回解析结果的域名解析异常,检测是否为对待检测域名的域名劫持异常而导致。
示例性地,第四种目标检测规则的置信度为80%,即按照该目标检测规则,判定异常解析类型为域名劫持异常的置信度为80%。原因在于,出现异常解析结果,可能是部分域名解析***未遵照标准网络协议(Request For Comments,RFC)导致的,而非域名劫持异常。
在第五种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名为未配置有IP地址解析结果的域名,以及利用域名查询工具,向本地域名服务器查询目标域名;其判定规则中配置了:如果本地域名服务器返回IP地址解析结果,判定异常解析类型为域名劫持异常。
进而在步骤S402中,利用请求规则,向目标域名服务器发送对目标域名的解析请求,具体可以包括:利用域名查询工具,向本地域名服务器查询目标域名;在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于本地域名服务器返回IP地址解析结果,判定异常解析类型为域名劫持异常。
其中,未配置有IP地址解析结果的域名可以理解为不存在的域名(NXDOMAIN)。不存在的域名当然也不会配置有IP地址格式的解析结果,如果对于不存在的域名,待检测域名解析***仍能够返回域名解析结果,则说明存在劫持不存在域名的情况。
示例性地,可以利用dig工具作为域名查询工具,向待检测域名解析***的本地域名服务器查询一个不存在的域名,如果本地域名服务器直接返回IP地址格式的解析结果,则可以判定异常解析类型为对不存在域名的域名劫持异常。
示例性地,第五种目标检测规则的置信度为100%,即按照该目标检测规则,判定异常解析类型为域名劫持异常的置信度为100%。
与第五种目标检测规则类似地 ,第六种目标检测规则同样可用于检测对不存在域名的域名劫持异常。在第六种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名为未配置有IP地址解析结果的域名,以及利用域名查询工具,向本地域名服务器查询目标域名;其判定规则中配置了:如果本地域名服务器返回IP地址解析结果,判定异常解析类型为域名劫持异常。
进而在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***是否存在域名劫持异常,具体可以包括:响应于本地域名服务器返回IP地址解析结果且返回的IP地址解析结果对应有真实网络资源,判定异常解析类型为域名劫持异常。
示例性地,向待检测域名解析***的本地域名服务器查询一个不存在的域名,如果本地域名服务器直接返回IP地址格式的解析结果,且IP地址解析结果对应有真实网络资源,即通过该IP地址可以访问到一个真实网站,则可以判定异常解析类型为对不存在域名的域名劫持异常。
在一种实施方式中,IP地址解析结果是否对应有真实网络资源,可以基于网包探测工具(如ping工具)进行确定。具体地,利用ping工具探测IP地址解析结果对应网站的网络连通性;响应于对应网站的网络连通性正常,确定IP地址解析结果对应有真实网络资源。
示例性地,第六种目标检测规则的置信度为100%,即按照该目标检测规则,判定异常解析类型为域名劫持异常的置信度为100%。
在第七种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,分别基于第一网络传输协议和第二网络传输协议发送解析请求;其判定规则中配置了:如果得到的两个解析结果不一致,则判定存在域名劫持异常。
进而在步骤S402中,利用请求规则,向目标域名服务器发送对目标域名的解析请求,具体可以包括:基于第一网络传输协议,向本地域名服务器发送对目标域名的第一解析请求;基于第二网络传输协议,向本地域名服务器发送对目标域名的第二解析请求。在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***的异常解析类型,具体可以包括:响应于第一解析请求对应的第一解析结果与第二解析请求对应的第二解析结果不一致,判定异常解析类型为域名劫持异常。
其中,目标域名可以为待检测域名。第一网络传输协议示例为TCP协议,第二网络传输协议示例为UDP协议。TCP协议由于是面向连接的处理,一般难以进行劫持处理,而UDP协议为支持无连接的传输协议,因此,劫持者可以针对UDP协议的域名数据报文进行劫持处理,而在域名解析软件层面,网络传输层的差异不会作为差异响应的条件,因此,如果两种协议所对应的解析结果不一致,则可以判定存在对待检测域名的域名劫持异常。
示例性地,第七种目标检测规则的置信度为90%,即按照该目标检测规则,判定异常解析类型为域名劫持异常的置信度为90%。原因在于,出现异常解析结果,可能是部分域名解析***未遵照RFC协议导致的,而非域名劫持异常。
在第八种目标检测规则中,其请求规则中配置了:目标域名服务器为待检测域名解析***中的本地域名服务器,目标域名为配置有预设解析结果的域名,以及利用域名查询工具,向本地域名服务器查询;其判定规则中配置了:如果本地域名服务器返回的解析结果为私网IP地址或无法访问的IP地址,则判定存在域名劫持异常。
进而在步骤S402中,利用请求规则,向目标域名服务器发送对目标域名的解析请求,具体可以包括:利用域名查询工具,向本地域名服务器查询目标域名的预设解析结果。在步骤S403中,基于判定规则以及目标域名服务器对目标域名的响应结果,确定待检测域名解析***的异常解析类型,具体可以包括:响应于本地域名服务器返回的解析结果为私网IP地址或无法访问的IP地址,判定异常解析类型为域名劫持异常。
其中,目标域名为待检测域名,且配置有预设解析结果,即对应有IP地址格式的解析记录。无法访问的IP地址也可以理解为不可达的IP地址。示例性地,可以利用dig工具作为域名查询工具,向待检测域名解析***的本地域名服务器查询待检测域名,如果本地域名服务器返回的私网IP地址或无法访问的IP地址的解析结果,则可以判定存在对待检测域名的域名劫持异常。
示例性地,第八种目标检测规则的置信度为70%,即按照该目标检测规则,判定异常解析类型为域名劫持异常的置信度为70%。原因在于,用户可以通过配置私网来禁止某一些域名的直接访问,因此,按照这种目标检测规则进行检测,可能会出现判定结果不准确的情况,进而将其置信度设置为70%。
以上介绍了八种不同的检测规则,它们可以部分或全部作为目标检测规则,即可以执行一种或多种目标检测规则。当执行多种目标检测规则时,可以分别针对不同类型的域名劫持异常,提供一种多维度检测的评估方法。
示例性地,目标检测规则为多个,且均对应于域名劫持异常,可以分别执行每个目标检测规则,每个目标检测规则分别配置有相应的置信度,因此,可以得到多个检测结果,每个检测结果的置信度即为相应目标检测规则的置信度,对多个检测结果加权求和,可以得到待检测域名解析***是否为域名劫持异常以及相应的置信度。由此,避免单一维度的检测方法难以适配多种情况的域名劫持异常的场景。
实施例三
与本申请实施例提供的应用场景以及实施例一和二的方法相对应地,本申请实施例还提供一种域名解析异常的检测装置。该域名解析异常的检测装置可以包括:目标检测规则获取模块,包括获取至少一个预设的目标检测规则;其中,所述目标检测规则包括相匹配的请求规则和判定规则;解析请求发送模块,用于利用所述请求规则,向目标域名服务器发送对目标域名的解析请求;其中,所述目标域名服务器和所述目标域名均与所述请求规则相对应;异常解析类型确定模块,用于基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型;其中,所述响应结果包括解析结果和/或解析时长,所述异常解析类型与所述目标检测规则相对应。
在一种实施方式中,所述异常解析类型包括域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的根域名服务器,所述目标域名为预设解析结果为网际协议IP地址格式的域名;异常解析类型确定模块具体用于响应于所述根域名服务器返回的解析结果中包含所述预设解析结果,判定所述异常解析类型为通过伪造根域名服务器导致的域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为目标公共递归服务器对应的域名;异常解析类型确定模块具体用于响应于对所述目标域名的解析时长小于目标网络延迟时长,判定所述异常解析类型为通过伪造所述目标公共递归服务器导致的域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为待检测域名的非IP地址格式的信息;异常解析类型确定模块具体用于响应于所述本地域名服务器返回的解析结果为IP地址格式,判定所述异常解析类型为对所述待检测域名的域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名包括待检测域名和参考域名,所述参考域名为顶级域名;异常解析类型确定模块具体用于响应于所述本地域名服务器返回所述参考域名的解析结果,但未返回所述待检测域名的解析结果,判定所述异常解析类型为对所述待检测域名的域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为未配置有IP地址解析结果的域名;解析请求发送模块具体用于利用域名查询工具,向所述本地域名服务器查询所述目标域名;异常解析类型确定模块具体用于响应于所述本地域名服务器返回IP地址解析结果,判定所述异常解析类型为域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为未配置有IP地址解析结果的域名;异常解析类型确定模块具体用于响应于所述本地域名服务器返回IP地址解析结果且返回的IP地址解析结果对应有真实网络资源,判定所述异常解析类型为域名劫持异常。
在一种实施方式中,异常解析类型确定模块具体还用于:利用网包探测工具探测所述IP地址解析结果对应网站的网络连通性;响应于所述对应网站的网络连通性正常,确定所述IP地址解析结果对应有真实网络资源。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器;解析请求发送模块具体用于基于第一网络传输协议,向所述本地域名服务器发送对所述目标域名的第一解析请求;基于第二网络传输协议,向所述本地域名服务器发送对所述目标域名的第二解析请求;异常解析类型确定模块具体用于响应于所述第一解析请求对应的第一解析结果与所述第二解析请求对应的第二解析结果不一致,判定所述异常解析类型为域名劫持异常。
在一种实施方式中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为配置有预设解析结果的域名;解析请求发送模块具体用于利用域名查询工具,向所述本地域名服务器查询所述目标域名的预设解析结果;异常解析类型确定模块具体用于响应于所述本地域名服务器返回的解析结果为私网IP地址或无法访问的IP地址,判定所述异常解析类型为域名劫持异常。
在一种实施方式中,所述目标检测规则配置有置信度,用于表征所述异常解析类型的置信度。
在一种实施方式中,所述目标检测规则为多个。
本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述,并具备相应的有益效果,在此不再赘述。
实施例四
图5为用来实现本申请实施例的电子设备的框图。如图5所示,该电子设备包括:存储器501和处理器502,存储器501内存储有可在处理器502上运行的计算机程序。处理器502执行该计算机程序时实现上述实施例中的方法。存储器501和处理器502的数量可以为一个或多个。
该电子设备还包括:
通信接口503,用于与外界设备进行通信,进行数据交互传输。
如果存储器501、处理器502和通信接口503独立实现,则存储器501、处理器502和通信接口503可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器501、处理器502及通信接口503集成在一块芯片上,则存储器501、处理器502及通信接口503可以通过内部接口完成相互间的通信。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现本申请实施例中提供的方法。
本申请实施例还提供了一种芯片,该芯片包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行本申请实施例提供的方法。
本申请实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行申请实施例提供的方法。
应理解的是,上述处理器可以是CPU,还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(Advanced RISC Machines,ARM)架构的处理器。
进一步地,可选的,上述存储器可以包括只读存储器和随机访问存储器。该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以包括只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以包括随机访问存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM均可用。例如,静态随机访问存储器(Static RAM,SRAM)、动态随机访问存储器(Dynamic Random Access Memory,DRAM)、同步动态随机访问存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机访问存储器(Double Data RateSDRAM,DDR SDRAM)、增强型同步动态随机访问存储器(Enhanced SDRAM,ESDRAM)、同步链接动态随机访问存储器(Sync link DRAM,SLDRAM)和直接内存总线随机访问存储器(DirectRambus RAM,DR RAM)。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生依照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中描述的或在此以其他方式描述的任何过程或方法可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能。
在流程图中描述的或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。
应理解的是,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本申请的示例性实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请记载的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种域名解析异常的检测方法,包括:
获取至少一个预设的目标检测规则;其中,所述目标检测规则包括相匹配的请求规则和判定规则;
利用所述请求规则,向目标域名服务器发送对目标域名的解析请求;其中,所述目标域名服务器和所述目标域名均与所述请求规则相对应;
基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型;所述响应结果包括解析结果和/或解析时长,所述异常解析类型与所述目标检测规则相对应,所述异常解析类型包括域名劫持异常;
其中,所述目标域名服务器包括所述待检测域名解析***中的根域名服务器,所述目标域名包括预设解析结果为网际协议IP地址格式的域名;所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述根域名服务器返回的解析结果中包含所述预设解析结果,判定所述异常解析类型为通过伪造根域名服务器导致的域名劫持异常。
2.根据权利要求1所述的方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为目标公共递归服务器对应的域名;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于对所述目标域名的解析时长小于目标网络延迟时长,判定所述异常解析类型为通过伪造所述目标公共递归服务器导致的域名劫持异常。
3.根据权利要求1所述的方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为待检测域名的非IP地址格式的信息;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述本地域名服务器返回的解析结果为IP地址格式,判定所述异常解析类型为对所述待检测域名的域名劫持异常。
4.根据权利要求1所述的方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名包括待检测域名和参考域名,所述参考域名为顶级域名;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述本地域名服务器返回所述参考域名的解析结果,但未返回所述待检测域名的解析结果,判定所述异常解析类型为对所述待检测域名的域名劫持异常。
5.根据权利要求1所述的检测方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为未配置有IP地址解析结果的域名;
所述的利用所述请求规则,向目标域名服务器发送对目标域名的解析请求,包括:
利用域名查询工具,向所述本地域名服务器查询所述目标域名;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述本地域名服务器返回IP地址解析结果,判定所述异常解析类型为域名劫持异常。
6.根据权利要求1所述的检测方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为未配置有IP地址解析结果的域名;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述本地域名服务器返回IP地址解析结果且返回的IP地址解析结果对应有真实网络资源,判定所述异常解析类型为域名劫持异常。
7.根据权利要求6所述的检测方法,所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,还包括:
利用网包探测工具探测所述IP地址解析结果对应网站的网络连通性;
响应于所述对应网站的网络连通性正常,确定所述IP地址解析结果对应有真实网络资源。
8.根据权利要求1所述的方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器;
所述的利用所述请求规则,向目标域名服务器发送对目标域名的解析请求,包括:
基于第一网络传输协议,向所述本地域名服务器发送对所述目标域名的第一解析请求;
基于第二网络传输协议,向所述本地域名服务器发送对所述目标域名的第二解析请求;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述第一解析请求对应的第一解析结果与所述第二解析请求对应的第二解析结果不一致,判定所述异常解析类型为域名劫持异常。
9.根据权利要求1所述的方法,其中,所述目标域名服务器为所述待检测域名解析***中的本地域名服务器,所述目标域名为配置有预设解析结果的域名;
所述的利用所述请求规则,向目标域名服务器发送对目标域名的解析请求,包括:
利用域名查询工具,向所述本地域名服务器查询所述目标域名的预设解析结果;
所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型,包括:
响应于所述本地域名服务器返回的解析结果为私网IP地址或无法访问的IP地址,判定所述异常解析类型为域名劫持异常。
10.根据权利要求1至9任一项所述的方法,其中,所述目标检测规则配置有置信度,用于表征所述异常解析类型的置信度。
11.根据权利要求1至9任一项所述的方法,其中,所述目标检测规则为多个,针对每个目标检测规则,分别执行所述的利用所述请求规则,向目标域名服务器发送对目标域名的解析请求;以及所述的基于所述判定规则以及所述目标域名服务器对所述目标域名的响应结果,确定待检测域名解析***的异常解析类型。
12.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现权利要求1至11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310588728.XA CN116319113B (zh) | 2023-05-23 | 2023-05-23 | 一种域名解析异常的检测方法和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310588728.XA CN116319113B (zh) | 2023-05-23 | 2023-05-23 | 一种域名解析异常的检测方法和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116319113A CN116319113A (zh) | 2023-06-23 |
| CN116319113B true CN116319113B (zh) | 2023-08-11 |
Family
ID=86824372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310588728.XA Active CN116319113B (zh) | 2023-05-23 | 2023-05-23 | 一种域名解析异常的检测方法和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319113B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116760642B (zh) * | 2023-08-18 | 2023-11-03 | 中国信息通信研究院 | 判定域名资源记录变动安全性的方法和装置、设备、介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2725873A1 (en) * | 2011-06-21 | 2014-04-30 | ZTE Corporation | Information sending method and gateway |
| CN104065762A (zh) * | 2014-05-30 | 2014-09-24 | 小米科技有限责任公司 | 一种检测dns服务器劫持的方法及装置 |
| KR20160027842A (ko) * | 2014-09-02 | 2016-03-10 | 주식회사 케이티 | 위조 사이트 검출 방법과 이에 대한 보안 시스템 |
| CN109819060A (zh) * | 2018-12-15 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 异常检测方法、装置、计算机装置及存储介质 |
| CN110572390A (zh) * | 2019-09-06 | 2019-12-13 | 深圳平安通信科技有限公司 | 检测域名劫持的方法、装置、计算机设备和存储介质 |
| CN110855636A (zh) * | 2019-10-25 | 2020-02-28 | 武汉绿色网络信息服务有限责任公司 | 一种dns劫持的检测方法和装置 |
| CN111447226A (zh) * | 2020-03-27 | 2020-07-24 | 上海连尚网络科技有限公司 | 用于检测dns劫持的方法和设备 |
| WO2020228038A1 (zh) * | 2019-05-16 | 2020-11-19 | 深圳市欢太科技有限公司 | 域名处理方法、装置、电子设备以及存储介质 |
| CN112468474A (zh) * | 2020-11-19 | 2021-03-09 | 哈尔滨工业大学(威海) | 一种递归域名服务器解析异常的主动检测方法 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| KR20220131600A (ko) * | 2021-03-22 | 2022-09-29 | 주식회사 엘지유플러스 | 파밍 dns 분석 방법 및 컴퓨팅 디바이스 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225731B2 (en) * | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US10284595B2 (en) * | 2015-05-08 | 2019-05-07 | Citrix Systems, Inc. | Combining internet routing information with access logs to assess risk of user exposure |
| US10594728B2 (en) * | 2016-06-29 | 2020-03-17 | AVAST Software s.r.o. | Detection of domain name system hijacking |
| US11943196B2 (en) * | 2020-12-01 | 2024-03-26 | HYAS Infosec Inc. | Detection of domain hijacking during DNS lookup |
-
2023
- 2023-05-23 CN CN202310588728.XA patent/CN116319113B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2725873A1 (en) * | 2011-06-21 | 2014-04-30 | ZTE Corporation | Information sending method and gateway |
| CN104065762A (zh) * | 2014-05-30 | 2014-09-24 | 小米科技有限责任公司 | 一种检测dns服务器劫持的方法及装置 |
| KR20160027842A (ko) * | 2014-09-02 | 2016-03-10 | 주식회사 케이티 | 위조 사이트 검출 방법과 이에 대한 보안 시스템 |
| CN109819060A (zh) * | 2018-12-15 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 异常检测方法、装置、计算机装置及存储介质 |
| WO2020228038A1 (zh) * | 2019-05-16 | 2020-11-19 | 深圳市欢太科技有限公司 | 域名处理方法、装置、电子设备以及存储介质 |
| CN110572390A (zh) * | 2019-09-06 | 2019-12-13 | 深圳平安通信科技有限公司 | 检测域名劫持的方法、装置、计算机设备和存储介质 |
| CN110855636A (zh) * | 2019-10-25 | 2020-02-28 | 武汉绿色网络信息服务有限责任公司 | 一种dns劫持的检测方法和装置 |
| CN111447226A (zh) * | 2020-03-27 | 2020-07-24 | 上海连尚网络科技有限公司 | 用于检测dns劫持的方法和设备 |
| CN112468474A (zh) * | 2020-11-19 | 2021-03-09 | 哈尔滨工业大学(威海) | 一种递归域名服务器解析异常的主动检测方法 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| KR20220131600A (ko) * | 2021-03-22 | 2022-09-29 | 주식회사 엘지유플러스 | 파밍 dns 분석 방법 및 컴퓨팅 디바이스 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116319113A (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10148612B2 (en) | Method and system for increasing speed of domain name system resolution within a computing device | |
| US10361993B2 (en) | Cross-protocol communication in domain name systems | |
| US20060218289A1 (en) | Systems and methods of registering and utilizing domain names | |
| US11606388B2 (en) | Method for minimizing the risk and exposure duration of improper or hijacked DNS records | |
| US7225272B2 (en) | Method and apparatus for providing name services | |
| CN103957285B (zh) | 提供根域名解析服务的方法和*** | |
| EP3114822A1 (en) | Transparent proxy authentication via dns processing | |
| US20120047173A1 (en) | Method of and Apparatus for Identifying Requestors of Machine-Generated Requests to Resolve a Textual Identifier | |
| CN116319113B (zh) | 一种域名解析异常的检测方法和电子设备 | |
| CN110933156A (zh) | 一种域名解析的方法及装置 | |
| CN114205330A (zh) | 域名解析方法、域名解析装置、服务器以及存储介质 | |
| CN112468474A (zh) | 一种递归域名服务器解析异常的主动检测方法 | |
| CN112671866B (zh) | Dns分流解析方法、dns服务器及计算机可读存储介质 | |
| CN110677512B (zh) | 一种地址解析方法及装置 | |
| CN116938875A (zh) | 域名检测方法、域名解析器、电子设备和存储介质 | |
| WO2005093999A1 (en) | Systems and methods of registering and utilizing domain names | |
| CN115174518A (zh) | 一种基于rpz的递归侧域名保全方法及*** | |
| KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
| CN113839938B (zh) | 一种域名接管漏洞的检测方法和装置 | |
| CN111092966A (zh) | 域名***、域名访问方法和装置 | |
| CN116827902A (zh) | 域名生成方法、域名检测方法和电子设备、存储介质 | |
| CN116055449A (zh) | 一种dns分组转发方法及装置 | |
| CN116743442A (zh) | 一种基于云计算的dns域名解析*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |